Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\embedded-4188382928.dll
- %TEMP%\qysgixnjagvi.sys
Сетевая активность
UDP
- DNS ASK po##.#ashvault.pro
Другое
Запускает на исполнение
- '<SYSTEM32>\wbem\wmic.exe' bios get version (со скрытым окном)
- '<SYSTEM32>\sc.exe' query VBoxGuest (со скрытым окном)
- '<SYSTEM32>\sc.exe' query VBoxMouse (со скрытым окном)
- '<SYSTEM32>\sc.exe' query VBoxService (со скрытым окном)
- '<SYSTEM32>\sc.exe' query vmdebug (со скрытым окном)
- '<SYSTEM32>\sc.exe' query vmmouse (со скрытым окном)
- '<SYSTEM32>\sc.exe' query VMTools (со скрытым окном)
- '<SYSTEM32>\sc.exe' query "Vmware Physical Disk Helper Service" (со скрытым окном)
- '<SYSTEM32>\tasklist.exe' (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' diskdrive get model (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' logicaldisk where DeviceID='C:' get Size (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' path win32_pointingdevice get name,description,manufacturer (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' cpu get numberofcores (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' os get totalvisiblememorysize (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' cpu get name (со скрытым окном)
- '<SYSTEM32>\wbem\wmic.exe' path win32_videocontroller get name (со скрытым окном)
- '<SYSTEM32>\whoami.exe' (со скрытым окном)
- '%WINDIR%\explorer.exe'
